Blogi

Webin tietoturvan tilanne tilastojen valossa – SSL/TLS-koulutuksen herättämiä ajatuksia

22.5.2017

Kirjoittaja: Harri Tuuva

Verkkoliikenne

lukko_tietokoneet_700x400Aloitin työt Wesentrassa huhtikuun puolen välin jälkeen ja heti toisena työpäivänä sain osallistua Wesentran ja Mint Securityn järjestämään The best TSL training in the world! -koulutukseen. Koulutus pidettiin Helsingin Ruoholahdessa sijaitsevassa IT-koulutuspalveluja tuottavan Wistec Oy:n tiloissa. Wistecläiset ovatkin vanhoja tuttujamme, joten pystyimme luottamaan, että puitteet ja järjestelyt ovat kunnossa – niin kuin ne olivatkin 🙂

The best TLS training in the world!

Päivän mittaan koulutuksessa tungettiin kädet suhteellisen syvälle tekniseen santaan, joten koulutuksesta sai konkreettista käytännön osaamista (web)palveluiden turvaamiseen. Koulutuksen alkupuolella käytiin kuitenkin läpi Internetin, verkkojen ja digitaalisen maailman faktoja ja uhkia. Tarkoituksena ei ollut ”pelotella” kuulijoita, vaan ennemminkin tuoda nykymaailman tosiseikkoja esiin. Vaikka itsekin olen Internetin ja sähköisten palveluiden aktiivikäyttäjä ja työni puolesta perehtynyt aiheen varsinkin tekniseen puoleen suhteellisen paljon, niin kuitenkin moni koulutuksessa esille tullut asia tuli minulle yllätyksenä. Innostuin aiheesta ja uppouduin kaivelemaan lisää tilastoja ja tietoa netistä, lähdekriittisyys huomioiden 😉

Keskityn tässä blogikirjoituksessa em. tilastoihin. Ainakin itselle tuli näitä tonkiessa lisää perspektiiviä netin mahdollisuuksiin ja uhkiin. Ja uskoisin, että tämä aihe soveltuu paremmin blogikirjoitukseen kuin esim. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Jos ja kun tämä puoli aiheesta kiinnostaa ja haluat saada kätesi tekniseen santaan, niin ota ja yhteyttä ja katsotaan, milloin seuraava koulutus olisi mahdollinen.

Maailmassa käytetään digitaaliseen vähittäiskauppaan n. 40 kertaa enemmän rahaa kuin koko Suomen valtion pyörittämiseen

Maailmassa on tällä hetkellä yli kolme ja puoli miljardia Internetin käyttäjää. Ja lukumäärä kasvaa koko ajan hurjaa vauhtia. Pelkästään Kiinassa netin käyttäjiä oli vuoden 2016 puolessa välissä yli 720 miljoonaa. Se on yli kaksi kertaa enemmän kuin koko Yhdysvaltojen väestö. Islannissa Internetin käyttäjiä on väestöön nähden kaikista eniten, 100 % koko kansasta. Pohjoismaat pärjäsivät tässä vertailussa verrattain hyvin, kaikkien päästessä lähelle kärkipaikkoja, Suomen ollessa pohjoismaista viimeisenä, sijalla 13 (92,5 %). Hännänhuipuksi jäi Eritrea, jossa vain 1,1 % väestöstä on pääsy Internetiin. Intialaisista Internetittömiä käyttäjiä on vielä n. 65 % eli 864 miljoonaa ihmistä. Vuoteen 2015 verrattuna käyttäjämäärä Intiassa oli kuitenkin kasvanut n. kolmanneksella vuoden aikana eli sieltä suunnalta on odotettavissa lähivuosina aikamoinen määrä netin käyttäjiä lisää. Vuonna 2016 globaalisti myytiin melkein puolitoista miljardia älypuhelinta.

internetlivestats

Tilastojen ja arvioiden mukaan Internetissä tehdään tänä vuonna n. 2,4 biljoonan dollarin arvosta kauppaa (tilastoissa ei mukana matka- ja tapahtumalippuja). Tilastojen mukaan yli miljardi ihmistä on ostanut jotain Internetin välityksellä. Keskimääräinen englantilainen online-shoppailija käytti vuonna 2015 keskimäärin 1174 puntaa verkko-ostoksiinsa. Vuoteen 2020 mennessä kaupankäynnin odotetaan nousevan n. 4,1 biljoonaan dollariin, vuosittain kasvua on reilu parikymmentä prosenttiyksikköä. Verrokkina otettakoon Suomen valtion budjetiksi vuodelle 2017 määritelty 55,2 mrd euroa. Tällä hetkellä maailmassa käytetään digitaaliseen vähittäiskauppaan n. 40 kertaa enemmän rahaa, kuin koko Suomen valtion pyörittämiseen. Kyseessä on vain kymmenen prosenttia kaikesta maailmassa tehtävästä vähittäiskaupasta ja määrän arvioidaan nousevan vuoteen 2020 mennessä n. 15 prosenttiin. Kasvupotentiaalia todellakin siis löytyy!

Hälyttävän suuri määrä sivustoista ei käytä HTTPS-salausta

Nämä valtavat massat Internetissä avaavat uskomattomia mahdollisuuksia! Ikävä kyllä mahdollisuuksia myös erilaiseen hämäräperäiseen toimintaan. Kouluttajamme Scott Helme otti esiin Best TLS Training -koulutuksessa sen, että tällä hetkellä jo hitusen yli puolet Internetin liikenteestä on HTTPS-liikennettä. Hieno homma! Mutta Scottin mukaan kuitenkin merkittävästi pienempi osa Internetin webbisivuista on HTTPS-suojattuja, joten tilanne ei loppujen lopuksi olekaan aivan niin hyvä, kuin aluksi saattaisi ymmärtää. Eron salatussa verkkoliikenteessä ja salatuissa webbisivuissa selittää se, että kaikista suosituimmat sivustot ovat tehneet ratkaisuistaan tietoturvallisia – tai ainakin osa heistä. Googlen mukaan sataa maailman suosituinta sivustoa tutkittaessa, kuitenkin hälyttävän suuri määrä sivustoista ei käytä HTTPS-salausta tai on vähintäänkin konfiguroitu puutteellisesti. Viimeisimmässä SSL Pulsen toukokuun tilastossa luokkaan A+ pääsi vain 8,7 % tutkituista n. 140000 sivustosta.

Arviolta yli 70000 webbisivua hakkeroidaan päivittäin. Ennusteiden mukaan vuoteen 2019 mennessä verkkorikollisuuden aiheuttamat tappiot nousevat yli kahteen biljoonaan dollariin vuosittain. Tappioiden uskotaan olevan oikeasti jopa suuremmat, koska kaikkia tapauksia ei koskaan edes huomata ja osa halutaan pitää tarkoituksella salassa. Vuodesta 2013 alkaen yli seitsemän miljardia Data recordia on kadotettu tai anastettu ja siitä määrästä vain neljä prosenttia oli salattu asianmukaisesti.

”HTTPS on vaatimus monille uusille selainominaisuuksille – erityisesti nykyaikaisille verkkosovelluksille”

”HTTPS on yksi internet-tietoturvan ja yksityisyyden kulmakivistä, riippumatta siitä, onko kyseessä pankkitoiminta tai yksityisten valokuvien lähetys”, sanoo Malwarebytesin tietoturva-tutkija Jérôme Segura. ”Kaikki verkkosivustot tulisi suojata HTTPS:llä, vaikka ne eivät käsittelisi arkaluonteista dataa. Sen lisäksi että tarjoat kriittistä tietoturvaa ja tietojen eheyttä verkkosivustoillesi ja käyttäjien henkilökohtaisille tiedoille, HTTPS on vaatimus monille uusille selainominaisuuksille – erityisesti nykyaikaisille verkkosovelluksille.”, kertoo Kayce Basques Googlelta. ”HTTPS suojaa sivustosi eheyttä sekä käyttäjien yksityisyyttä ja turvallisuutta. HTTPS on verkon tulevaisuus.”, hän jatkaa.

Breachlevelindex.com -sivusto esittää kolmiportaista ratkaisumallia tiedon suojaamiseksi: ”1. Huolehdi käyttäjien käyttöoikeuksien hallinnasta ja todentamisesta. 2. Salaa kaikki arkaluontoiset tiedot sekä paikallisesti että verkossa siirrettäessä. 3. Pidä asianmukaisesti huolta salausavaimista.” Vaikuttaa simppeliltä ja ehdottomasti järkevältäkin, mutta vaatii organisaatioilta ja ihmisiltä vielä paljon tekemistä ja oppimista, että tuohon päästään laajassa mittakaavassa.

Toisen hyvän lähestymistavan esitti kouluttajamme Scott Helme. Kyseessä on TLS Maturity Model, kuusiportainen malli, jossa tarkastellaan omien palveluiden salauksen tilaa ja pyritään pääsemään lopulta kattavaan lopputulokseen. Mallissa lähdetään liikkeelle nollasta, jossa salaukseen ja tietoturvaan liittyviä asioita käsitellään (organisaatiossa) kaaosmaisesti ja päädytään – kriittisimmät palvelut etunojassa – lopulta kattavaan tietoturvalliseen tilaan. Suosittelen tutustumaan 🙂

tmm

TLS Maturity Model, Feisty Duck The best TLS training in the world! -handouts

Pitäkää huolta itsestänne ja läheisistänne

Kuten jo alussa mainitsin, niin tilastot ja statistiikka meinasivat viedä minut mennessään. Artikkeleja tuli luettua läjäpäin ja aina jostain löytyi uusi linkki tai kiinnostava tilasto, jota halusi vielä tonkia. Samalla heräsi ajatus siitä, että vaikka tilastojen valossa kyseessä on valtavat tieto-, ihmis- ja rahamäärät, niin kuitenkin ne koostuvat yksittäisistä palveluista, laitteista, yksilöistä ja euroista/dollareista. Kun lähdetään pienestä liikkeelle, niin lopulta siitä voi muodostua suuri kokonaisuus – myös tietoturvassa. Pitäkää huolta itsestänne ja läheisistänne <3

Alla lähteet ja lisää luettavaa:

http://www.internetlivestats.com/

https://www.entrust.com/wp-content/uploads/2014/11/Six-Steps-SSL-Management-WEB-Nov15.pdf

https://www.google.com/transparencyreport/https/

https://securityintelligence.com/20-eye-opening-cybercrime-statistics/

https://www.trustworthyinternet.org/ssl-pulse/

https://blog.qualys.com/ssllabs/2015/06/08/introducing-tls-maturity-model

https://developers.google.com/web/fundamentals/security/encrypt-in-transit/why-https

http://breachlevelindex.com/

https://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf

http://www.idtheftcenter.org/Press-Releases/2016databreachespressrelease.html

https://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion

https://www.emarketer.com/Article/Worldwide-Retail-Ecommerce-Sales-Will-Reach-1915-Trillion-This-Year/1014369

https://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/

https://www.statista.com/statistics/266219/global-smartphone-sales-since-1st-quarter-2009-by-operating-system/

https://www.wired.com/2016/03/https-adoption-google-report/

The Best TLS Training in the World! -koulutus ja materiaalit

Lisätietoja:  info(at)wesentra.com     tai       https://www.wesentra.com

Lue lisää

Blogi
Ajankohtaista Verkkoliikenne
13.10.2023

Varmenteiden hallintapalvelu CeMan

Marjo Janhonen

Varmenteiden hallintapalvelu CeMan (Certificate Management) auttaa yrityksen varmenteiden eli sertifikaattien hallinnassa, kun niiden käyttö lisääntyy tai tarpeet monimutkaistuvat.

Jatka lukemista
Blogi
Ajankohtaista Verkkoliikenne
4.5.2023

Googlen ehdotus TLS/SSL-varmenteiden eliniäksi 90 päivää

Marjo Janhonen

Googlen ehdotus TLS/SSL-varmenteiden eliniäksi 90 päivää - Muutos rohkaisee varmenteiden hallinnan automatisointiin.

Jatka lukemista